WO2019062235A1 - 用于调用网络功能服务的方法、装置和系统 - Google Patents

Abstract

本申请提供一种用于调用网络功能服务的方法、装置和系统，该方法包括：授权模块接收第一网络功能模块发送的第一请求消息，该第一请求消息用于请求获取第二网络功能模块提供的第一网络功能服务的调用权限，该第一请求消息携带第一信息、第二信息和第三信息；该授权模块根据该第一信息、该第二信息和该第三信息，确定该第一网络功能模块是否具有调用该第一网络功能服务的权限；当确定该第一网络功能模块具有调用该第一网络功能服务的权限时，该授权模块向该第一网络功能模块发送令牌。本申请提供的用于调用网络功能服务的方法、装置和系统，能够提高调用网络功能服务的安全性。

Description

用于调用网络功能服务的方法、装置和系统

本申请要求于2017年09月28日提交中国专利局、申请号为201710897850.X、申请名称为“用于调用网络功能服务的方法、装置和系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信领域，更具体地，涉及通信领域中用于调用网络功能服务的方法、装置和系统。

背景技术

随着通信系统的不断发展，基于服务的网络架构(service based architecture，SBA)得到的广泛的应用，在基于服务的网络架构中，根据能够提供的特定网络功能的网络实体称为网络功能(network function，NF)模块，网络功能可以以服务的方式提供。

在基于服务的网络架构中，任意两个网络功能模块可以通过服务化接口以网络功能服务调用的方式交互。由于所有服务化接口的协议栈是统一的，即一个具备服务化接口的网络功能模块提供的网络功能服务可以被任意一个其它网络功能模块调用，这样以来，就存在网络功能服务滥用的威胁，安全性能较差。

因此，需要提供一种方案解决在基于服务的网络架构下调用网络功能服务时，安全性能较差的问题。

发明内容

本申请提供一种用于调用网络功能服务的方法、装置和系统，能够提高调用网络功能服务的安全性。

第一方面，本申请提供了一种用于调用网络功能服务的方法，该方法包括：

授权模块接收第一网络功能模块发送的第一请求消息，该第一请求消息用于请求获取第二网络功能模块提供的第一网络功能服务的调用权限，该第一请求消息携带第一信息、第二信息和第三信息，该第一信息用于指示该第一网络功能模块，该第二信息用于指示该第二网络功能模块，该第三信息用于指示该第一网络功能服务；

该授权模块根据该第一信息、该第二信息和该第三信息，确定该第一网络功能模块是否具有调用该第一网络功能服务的权限；

当确定该第一网络功能模块具有调用该第一网络功能服务的权限时，该授权模块向该第一网络功能模块发送令牌，该令牌用于指示该第一网络功能模块具有调用该第二网络功能模块的该第一网络功能服务的权限。

应理解，本申请实施例中的网络功能模块具有特定功能和网络接口，可以是专用硬件上的网元，也可以是专用硬件上运行的软件实例，还可以是相关平台(如云基础设施上) 上的虚拟功能实例，本申请实施例对此不作限定。

本申请实施例提供的用于调用网络功能服务的方法，当该授权模块确定第一网络功能模块具有调用第二网络功能模块提供的第一网络功能服务的权限时，该授权模块向该第一网络功能模块发送令牌，该令牌用于指示该第一网络功能模块具有调用该第二网络功能服务的权限，以使得该第一网络功能模块使用该令牌调用该第二网络功能模块提供的该第一网络功能服务，能够提高调用网络功能服务的安全性。

可选地，在该当确定该第一网络功能模块具有调用该第一网络功能服务的权限时，该授权模块向该第一网络功能模块发送令牌之前，该方法还包括：该授权模块生成该令牌。

应理解，该第一网络功能模块可以提供至少一种网络功能服务，该第二网络功能模块可以提供至少一种网络功能服务，且该第一网络功能模块提供的至少一种网络功能服务与该第二网络功能模块提供的至少一种网络功能服务不同。

可选地，该第一信息可以包括该第一网络功能模块的类型和/或标识，该第二信息可以包括该第二网络功能模块的类型和/或标识，该第三信息可以包括该第一网络功能服务的标识，本申请实施例对此不作限定。

可选地，本申请实施例中的网络功能模块的类型可以包括访问与移动性管理功能、会话管理功能、网络功能数据库功能、网络开放功能、应用功能等，本申请实施例对此不作限定。

可选地，本申请实施例中的网络功能模块的标识可以包括名称、标识、编号、域名、网络接入标识、网络协议地址等，本申请实施例对此不作限定。

可选地，本申请实施例中的网络功能服务的标识可以包括该网络功能服务的名称、标识、编号等，本申请实施例对此不作限定。

作为一个可选实施例，该授权模块可以根据该第一网络功能模块的类型、该第二网络功能模块的类型、该第一网络功能服务的标识和预配置的第一授权信息，确定该第一网络功能模块是否具有调用该第一网络功能服务的权限。其中，该第一授权信息用于指示允许调用该第一网络功能服务的网络功能模块的至少一种类型。

可选地，该第一授权信息可以包括允许调用该第一网络功能服务的网络功能模块的至少一种类型。

作为另一个可选实施例，该授权模块可以根据该第一网络功能模块的标识、该第二网络功能的标识、该第一网络功能服务的标识和预配置的第二授权信息，确定是否授予该第一网络功能服务的调用权限。其中，该第二授权信息用于指示允许调用该第一网络功能服务的至少一个网络功能模块。

可选地，该第二授权信息可以包括允许调用该第一网络功能服务的至少一个网络功能模块中每个网络功能模块的标识。

作为又一个可选实施例，该授权模块可以根据该第一网络功能模块的类型、该第一网络功能模块的标识，该第二网络功能模块的类型、该第二网络功能模块的标识和预配置的第三授权信息，确定该第一网络功能模块是否具有调用该第一网络功能服务的权限。其中，该第三授权信息用于指示允许调用该第一网络功能服务的网络功能模块的至少一种类型，以及该至少一种类型中每种类型对应的至少一个网络功能模块。

可选地，该第三授权信息可以包括允许调用该第一网络功能服务的网络功能模块的至 少一种类型，以及与每种类型对应的至少一个网络功能模块中每个网络功能模块的标识。

可选地，该第一请求消息还可以携带该第一网络功能模块所属的网络切片的标识、为该第一网络功能模块提供服务的运营商的标识、该第一网络功能模块的服务请求参数中的至少一项，本申请实施例对此不作限定。

应理解，网络切片可以理解为能够提供特定网络能力和网络特性的逻辑网络，一个网络切片中可以包括多个网络功能模块。

可选地，本申请实施例中的网络切片的标识可以为该网络切片的名称、域名、标识、编号等；网络该运营商的标识可以为公共陆地移动网络标识、名称、编号等，本申请实施例对此不做限定。

在一种可能的实现方式中，该令牌携带第四信息、第五信息和第六信息，该第四信息用于指示请求调用网络功能服务的网络功能模块为该第一网络功能模块，该第五信息用于指示提供网络功能服务的网络功能模块为该第二网络功能模块，该第六信息用于指示该第一网络功能模块有权限调用的、该第二网络功能模块提供的至少一种网络功能服务，该至少一种网络功能服务包括该第一网络功能服务。

可选地，该第四信息可以包括请求调用网络功能服务的网络功能模块的类型和/或标识，该第五信息可以包括提供网络功能服务的网络功能模块的类型和/或标识，该第六信息可以包括该至少一种网络功能服务中每种网络功能服务的标识，本申请实施例对此不作限定。

可选地，该令牌还可以携带该令牌的标识、消息验证码(数字签名)和该消息验证码(数字签名)的算法。

可选地，该令牌还可以携带该令牌的生效时间和失效时间中的至少一项或有效期。其中，当该令牌携带生效时间或失效时间时，该令牌还可以携带有效时长。

可选地，该令牌还可以携带运营商的标识或颁发所述令牌的授权模块的标识，本申请实施例对此不作限定。

应理解，该第一网络功能模块调用第一网络功能服务为不同用户设备提供服务时，可能具有不同的权限，由于授权模块中并未存储与用户设备相关的授权策略，因此，本申请实施例提供的网络架构中还可以包括用户数据管理模块，该授权模块可以向该用户数据管理模块请求该用户设备对应的该第一网络功能服务的授权策略。

在一种可能的实现方式中，该第一网络功能服务是为用户设备服务的，该方法还包括：

该授权模块向用户数据管理模块发送第二请求消息，该第二请求消息用于请求该用户设备对应的该第一网络功能服务的授权策略，且该第二请求消息携带该用户设备的标识，该授权策略用于指示是否授予该第一网络功能模块调用该用户设备对应的该第一网络功能服务的权限；

该授权模块接收该用户数据管理模块根据该用户设备的标识发送的授权策略；

该授权模块根据该第一信息、该第二信息和该第三信息，确定该第一网络功能模块是否具有调用该第一网络功能服务的权限，包括：

该授权模块根据该第一信息、该第二信息、该第三信息和该授权策略，确定该第一网络功能模块是否具有调用该第一网络功能服务的权限。

可选地，该用户数据管理模块中可以预先配置网络中至少一个用户设备中每个用户设 备对应的至少一种网络功能服务的授权策略或授权规则，本申请实施例对此不作限定。

在一种可能的实现方式中，该方法还包括：该授权模块向该第二网络功能模块发送第七信息，所述第七信息包括已被撤销的至少一个令牌的标识。

本申请实施例提供的用于调用网络功能服务的方法，授权模块将已被撤销的至少一个令牌指示给第二网络功能模块，以使得第二网络功能模块能够自己确认令牌的有效性，而无需每次将令牌发送给授权模块确认，从而能够减少信令的开销。

在一种可能的实现方式中，该方法还包括：该令牌还携带该令牌的标识，该方法还包括：

该授权模块接收该第二网络功能模块发送的第三请求消息，该第三请求消息携带该令牌；

该授权模块根据该令牌的标识，对该令牌的有效性进行验证，以得到验证结果；

该授权模块向该第二网络功能模块发送该验证结果。

本申请实施例提供的用于调用网络功能服务的方法，第二网络功能模块将待验证的令牌发送给授权模块，并请求授权模块验证该令牌的有效性，能够降低第二网络功能模块认证令牌的复杂度。

第二方面，本申请提供一种用于调用网络功能服务的方法，该方法包括：

第一网络功能模块向第二网络功能模块发送第四请求消息，该第四请求消息用于请求调用该第二网络功能模块提供的第一网络功能服务，且该第四请求消息携带第一信息、第二信息、第三信息和令牌，该第一信息用于指示该第一网络功能模块，该第二信息用于指示该第二网络功能模块，该第三信息用于指示该第一网络功能服务，该令牌用于指示该第一网络功能模块具有调用该第二网络功能模块的该第一网络功能服务的权限；

该第一网络功能模块接收该第二网络功能模块发送的该第一网络功能服务的服务响应消息，该服务响应消息是根据该第一信息、该第二信息、该第三信息和该令牌发送的。

应理解，本申请实施例中的网络功能模块具有特定功能和网络接口，可以是专用硬件上的网元，也可以是专用硬件上运行的软件实例，还可以是相关平台(如云基础设施上)上的虚拟功能实例，本申请实施例对此不作限定。

在一种可能的实现方式中，该令牌携带第四信息、第五信息和第六信息，该第四信息用于指示请求调用网络功能服务的网络功能模块，该第五信息用于指示提供网络功能服务的网络功能模块，该第六信息用于指示该第一网络功能模块有权限调用的、该第二网络功能模块提供的至少一种网络功能服务。

在一种可能的实现方式中，在该第一网络功能模块向第二网络功能模块发送第四请求消息之前，该方法还包括：

该第一网络功能模块向授权模块发送第一请求消息，该第一请求消息用于请求获取该第一网络功能服务的调用权限，该第一请求消息携带该第一信息、该第二信息和该第三信息；

该第一网络功能模块接收该授权模块发送的该令牌，该令牌是根据该第一信息、该第二信息和该第三信息发送的。

应理解，本申请实施例中的令牌在有效期内可以重复使用，无需每次请求网络功能服务需要获取令牌，能够节省信令的开销。其中，该有效期的起始时间可以为该令牌的生效 时间，该有效期的结束时间可以为该令牌的失效时间，本申请实施例对此不作限定。

还应理解，本申请实施例中的令牌携带第六信息，该第六信息用于指示被授权的至少一种网络功能服务，当该第一网络功能模块请求该至少一个网络功能服务中任一网络功能服务时，无需再次向该授权模块请求令牌，能够进一步节省信令的开销。

例如，该第六信息指示的至少一个网络功能服务包括该第二网络功能模块提供的第二网络功能服务时，该第一网络功能模块还可以使用该令牌调用该第二网络功能服务。

又例如，在有效期内，该第一网络功能模块可以多次使用该令牌调用该被授权的至少一个网络功能服务。

第三方面，本申请提供一种用于调用网络功能服务的方法，该方法包括：

第二网络功能模块接收第一网络功能模块发送的第四请求消息，该第四请求消息用于请求调用该第二网络功能模块提供的第一网络功能服务，且该第四请求消息携带第一信息、第二信息、第三信息和令牌，该第一信息用于指示该第一网络功能模块，该第二信息用于指示该第二网络功能模块、该第三信息用于指示该第一网络功能服务，该令牌携带第四信息、第五信息和第六信息，该第四信息用于指示请求调用网络功能服务的网络功能模块，该第五信息用于指示提供网络功能服务的网络功能模块，该第六信息用于指示该第一网络功能模块有权限调用的、该第二网络功能模块提供的至少一种网络功能服务；

该第二网络功能模块确定该第四信息指示的网络功能模块与该第一网络功能模块是否相同，该第五信息指示的网络功能模块与该第二网络功能模块是否相同，以及该第六信息指示的该至少一种网络功能服务是否包括该第一网络功能服务；

当确定该第四信息指示的网络功能模块与该第一网络功能模块相同，该第五信息指示的网络功能模块与该第二网络功能模块相同，且该第六信息指示的至少一种网络功能服务包括该第一网络功能服务时，该第二网络功能模块向该第一网络功能模块发送该第一网络功能服务的服务响应消息。

本申请实施例提供的用于调用网络功能服务的方法，第二网络功能模块对该第一网络功能模块发送的第四请求消息中的信息与令牌中的信息进行匹配，当匹配成功时，向该第一网络功能模块发送服务响应消息，能够提高调用网络功能服务的安全性。

具体地，该第二网络功能模块可以对该第四请求消息中的信息与该令牌中的信息进行匹配，即对该第四请求消息中的该第一信息和该令牌中的该第四信息进行匹配，对该第四请求消息中的该第二信息和该令牌中该第五信息进行匹配，对该第四请求消息中的第三信息和该令牌中的第六信息进行匹配，得到匹配结果。

可选地，该第一信息可以包括该第一网络功能模块的类型和/或标识，该第二信息可以包括该第二网络功能模块的类型和/或标识，该第三信息可以包括该第一网络功能服务的标识，本申请实施例对此不作限定。

可选地，该第四信息可以包括请求调用网络功能服务的网络功能模块的类型和/或标识，该第五信息可以包括提供网络功能服务的网络功能模块的类型和/或标识，该第六信息可以包括该至少一种网络功能服务中每种网络功能服务的标识，本申请实施例对此不作限定。

可选地，本申请实施例中的网络功能模块的类型可以包括访问与移动性管理功能、会话管理功能、网络功能数据库功能、网络开放功能、应用功能等，本申请实施例对此不作 限定。

可选地，本申请实施例中的网络功能模块的标识可以包括名称、标识、编号、域名、网络接入标识、网络协议地址等，本申请实施例对此不作限定。

可选地，本申请实施例中的网络功能服务的标识可以包括该网络功能服务的名称、ID、编号等，本申请实施例对此不作限定。

在一种可能的实现方式中，该令牌还携带该令牌的标识，该方法还包括：

该第二网络功能模块向该授权模块发送该第三请求消息，该第三请求消息携带该令牌；该授权模块可以根据该令牌的标识和本地存储的已被撤销的至少一个令牌的标识，验证该令牌的有效性，以得到第一验证结果，并向该第二网络功能模块发送该第一验证结果；

该当确定该第四信息指示的网络功能模块与该第一网络功能模块相同，该第五信息指示的网络功能模块与该第二网络功能模块相同，且该第六信息指示的至少一种网络功能服务包括该第一网络功能服务时，该第二网络功能模块向该第一网络功能模块发送该第一网络功能服务的服务响应消息，包括：当确定该第一验证结果为有效，该请求授权的网络功能模块与该第一网络功能模块相同，该被授权的网络功能模块与该第二网络功能模块相同，且该被授权的至少一个网络功能服务包括该第一网络功能服务时，该第二网络功能模块向该第一网络功能模块发送该第一网络功能服务的服务响应消息。

在一种可能的实现方式中，该令牌还携带该令牌的标识，该方法还包括：

该第二网络功能模块接收该授权模块发送的第七信息，该第七信息包括已被撤销的至少一个令牌的标识；

确定该至少一个令牌的标识中是否包括该令牌的标识；

该当确定该第四信息指示的网络功能模块与该第一网络功能模块相同，该第五信息指示的网络功能模块与该第二网络功能模块相同，且该第六信息指示的至少一种网络功能服务包括该第一网络功能服务时，该第二网络功能模块向该第一网络功能模块发送该第一网络功能服务的服务响应消息，包括：当确定该至少一个令牌的标识不包括该令牌的标识，该第四信息指示的网络功能模块与该第一网络功能模块相同，该第五信息指示的网络功能模块与该第二网络功能模块相同，且该第六信息指示的至少一种网络功能服务包括该第一网络功能服务时，该第二网络功能模块向该第一网络功能模块发送该第一网络功能服务的服务响应消息。

可选地，该授权模块可以周期性向该第二网络功能模块发送该第七信息，或者该授权模块可以根据该第二网络模块的请求向该第二网络功能模块发送该第七信息，本申请实施例对此不作限定。

本申请实施例提供的用于调用网络功能服务的方法，授权模块或第二网络功能模块根据已被撤销的至少一个令牌的标识中是否包括用于调用该第一网络功能服务时使用的令牌的标识，确认该令牌是否已被撤销，能够防止使用已被撤销的无效令牌调用网络功能服务，从能够提高调用网络功能服务的安全性。

此外，授权模块将已被撤销的至少一个令牌指示给第二网络功能模块，以使得第二网络功能模块能够自己确认令牌的有效性，而无需每次将令牌发送给授权模块确认，从而能够减少信令的开销。

可选地，该令牌还可以携带消息验证码和数字签名中的至少一项。

在一种可能的实现方式中，该方法还包括：

该第二网络功能模块验证该消息验证码和/或该数字签名，得到第二验证结果，该第二验证结果可以为成功或失败；

该当确定该请求授权的网络功能模块与该第一网络功能模块相同，该被授权的网络功能模块与该第二网络功能模块相同，且该被授权的至少一个网络功能服务包括该第一网络功能服务时，该第二网络功能模块向该第一网络功能模块发送该第一网络功能服务的服务响应消息，包括：当确定该第二验证结果为成功，该请求授权的网络功能模块与该第一网络功能模块相同，该被授权的网络功能模块与该第二网络功能模块相同，且该被授权的至少一个网络功能服务包括该第一网络功能服务时，该第二网络功能模块向该第一网络功能模块发送该第一网络功能服务的服务响应消息。

可选地，该令牌还携带该令牌的生效时间和失效时间中的至少一项或有效期。其中，当该令牌携带生效时间或失效时间时，该令牌还可以携带有效时长。

比如该令牌的有效期可以表示为生效时间和失效时间，或者生效时间+有效时长。

作为一个可选实施例，该第二网络功能模块可以根据该令牌的生效时间和失效时间中的至少一项或有效期，验证该令牌的有效期，以得到第三验证结果，该第三验证结果可以为有效或无效。当确定该第三验证结果为有效，该请求授权的网络功能模块与该第一网络功能模块相同，该被授权的网络功能模块与该第二网络功能模块相同，且该被授权的至少一个网络功能服务包括该第一网络功能服务时，该第二网络功能模块向该第一网络功能模块发送该第一网络功能服务的服务响应消息。

本申请实施例提供的用于调用网络功能服务的方法，第二网络功能模块根据令牌中的该令牌的生效时间和失效时间中的至少一项或有效期，验证该令牌的是否有效，能够防止使用过期的无效令牌调用网络功能服务，从能够提高调用网络功能服务的安全性。

第四方面，本申请提供一种用于调用网络功能服务的系统，该系统包括：第一网络功能模块、第二网络功能模块和授权模块；

该第一网络功能模块用于向该授权模块发送第一请求消息，该第一请求消息用于请求获取第二网络功能模块提供的第一网络功能服务的调用权限，该第一请求消息携带第一信息、第二信息和第三信息，该第一信息用于指示该第一网络功能模块，该第二信息用于指示该第二网络功能模块，该第三信息用于指示该第一网络功能服务；

该授权模块用于接收该第一网络功能模块发送的该第一请求消息；根据该第一信息、该第二信息和该第三信息，确定该第一网络功能模块是否具有调用该第一网络功能服务的权限；当确定该第一网络功能模块具有调用该第一网络功能服务的权限时，向该第一网络功能模块发送令牌，该令牌携带第四信息、第五信息和第六信息，该第四信息用于指示请求调用网络功能服务的网络功能模块为该第一网络功能模块，该第五信息用于指示提供网络功能服务的网络功能模块为该第二网络功能模块，该第六信息用于指示该第一网络功能模块有权限调用的、该第二网络功能模块提供的至少一种网络功能服务，该至少一种网络功能服务包括该第一网络功能服务；

该第一网络功能模块还用于接收该授权模块发送的该令牌；向该第二网络功能模块发送第四请求消息，该第四请求消息用于请求调用该第一网络功能服务，且该第四请求消息携带该第一信息、该第二信息、该第三信息和该令牌；

该第二网络功能模块用于接收该第一网络功能模块发送的该第四请求消息；确定该第四信息指示的网络功能模块与该第一网络功能模块是否相同，该第五信息指示的网络功能模块与该第二网络功能模块是否相同，以及该第六信息指示的该至少一种网络功能服务是否包括该第一网络功能服务；当确定该第四信息指示的网络功能模块与该第一网络功能模块相同，该第五信息指示的网络功能模块与该第二网络功能模块相同，且该第六信息指示的至少一种网络功能服务包括该第一网络功能服务时，向该第一网络功能模块发送该第一网络功能服务的服务响应消息；

该第一网络功能模块还用于接收该第二网络功能模块发送的该服务响应消息。

在一种可能的实现方式中，该第一网络功能服务是为用户设备服务的，该系统还包括用户数据管理模块，

该授权模块还用于向用户数据管理模块发送第二请求消息，该第二请求消息用于请求该用户设备对应的该第一网络功能服务的授权策略，且该第二请求消息携带该用户设备的标识，该授权策略用于指示是否授予该第一网络功能模块调用该用户设备对应的该第一网络功能服务的权限；

该用户数据管理模块用于接收该授权模块发送的该第二请求消息；根据该用户设备的标识，确定该用户设备对应的该第一网络功能服务的授权策略；向该授权模块发送该授权策略；

该授权模块具体用于接收该用户数据管理模块根据该用户设备的标识发送的授权策略；根据该第一信息、该第二信息、该第三信息和该授权策略，确定该第一网络功能模块是否具有调用该第一网络功能服务的权限。

在一种可能的实现方式中，该令牌还携带该令牌的标识，

该授权模块还用于向该第二网络功能模块发送第七信息，该第七信息包括已被撤销的至少一个令牌的标识；

该第二网络功能模块具体用于接收该授权模块发送的第七信息；确定该至少一个令牌中是否包括该令牌；当确定该至少一个令牌不包括该令牌，该第四信息指示的网络功能模块与该第一网络功能模块相同，该第五信息指示的网络功能模块与该第二网络功能模块相同，且该第六信息指示的至少一种网络功能服务包括该第一网络功能服务时，向该第一网络功能模块发送该第一网络功能服务的服务响应消息。

在一种可能的实现方式中，该令牌还携带该令牌的标识，该第二网络功能模块还用于向该授权模块发送第三请求消息，该第三请求消息用于请求验证该令牌的有效性，且该第三请求消息携带该令牌；

该授权模块还用于接收该第二网络功能模块发送的该第三请求消息，根据该令牌的标识，验证该令牌的有效性，以得到验证结果；向该第二网络功能模块发送该验证结果；

该第二网络功能模块具体用于当确定该验证结果为有效，该第四信息指示的网络功能模块与该第一网络功能模块相同，该第五信息指示的网络功能模块与该第二网络功能模块相同，且该第六信息指示的至少一种网络功能服务包括该第一网络功能服务时，向该第一网络功能模块发送该第一网络功能服务的服务响应消息。

第五方面，本申请提供一种用于调用网络功能服务的系统，该系统包括：第一网络功能模块、第二网络功能模块和授权模块；

该第一网络功能模块用于向第二网络功能模块发送第一请求消息，该第一请求消息用于请求调用第二网络功能模块提供的第一网络功能服务，该第一请求消息携带第一信息、第二信息和第三信息，该第一信息用于指示该第一网络功能模块，该第二信息用于指示该第二网络功能模块，该第三信息用于指示该第一网络功能服务；

该第二网络功能模块用于接收该第一网络功能模块发送的该第一请求消息，根据该第一信息、该第二信息和该第三信息，向该授权模块发送第二请求消息，该第二请求消息用于请求验证该第一网络功能模块调用该第一网络功能服务的权限，且该第二请求消息携带该第一信息、该第二信息和该第三信息；

该授权模块用于接收该第二网络功能模块发送的该第二请求消息，根据该第一信息、该第二信息和该第三信息，验证该第一网络功能模块是否具有调用该第一网络功能服务的权限，以得到验证结果，该验证结果包括该第一网络功能模块具有调用该第一网络功能服务的权限或该第一网络功能模块不具有调用该第一网络功能服务的权限；向该第二网络功能模块发送该验证结果；

该第二网络功能模块还用于接收该第二网络功能模块发送的该验证结果；当该验证结果为该第一网络功能模块具有调用该第一网络功能服务的权限时，向该第一网络功能模块发送该第一网络功能服务的服务响应消息；

该第一网络功能模块还用于接收该第二网络功能模块发送的该服务响应消息。

第六方面，本申请提供了一种用于调用网络功能服务的装置，用于执行上述第一方面或第一方面的任意可能的实现方式中的方法。

第七方面，本申请提供了一种用于调用网络功能服务的装置，用于执行上述第二方面或第二方面的任意可能的实现方式中的方法。

第八方面，本申请提供了一种用于调用网络功能服务的装置，用于执行上述第三方面或第三方面的任意可能的实现方式中的方法。

第九方面，本申请提供了一种用于调用网络功能服务的装置，该装置包括：存储器、处理器、收发器及存储在该存储器上并可在该处理器上运行的计算机程序，其特征在于，该处理器执行该计算机程序时执行上述第一方面或第一方面的任意可能的实现方式中的方法。

第十方面，本申请提供了一种用于调用网络功能服务的装置，该装置包括：存储器、处理器、收发器及存储在该存储器上并可在该处理器上运行的计算机程序，其特征在于，该处理器执行该计算机程序时执行上述第二方面或第二方面的任意可能的实现方式中的方法。

第十一方面，本申请提供了一种用于调用网络功能服务的装置，该装置包括：存储器、处理器、收发器及存储在该存储器上并可在该处理器上运行的计算机程序，其特征在于，该处理器执行该计算机程序时执行上述第三方面或第三方面的任意可能的实现方式中的方法。

第十二方面，本申请提供了一种计算机可读介质，用于存储计算机程序，该计算机程序包括用于执行第一方面或第一方面的任意可能的实现方式中的方法的指令。

第十三方面，本申请提供了一种计算机可读介质，用于存储计算机程序，该计算机程序包括用于执行第二方面或第二方面的任意可能的实现方式中的方法的指令。

第十四方面，本申请提供了一种计算机可读介质，用于存储计算机程序，该计算机程序包括用于执行第三方面或第三方面的任意可能的实现方式中的方法的指令。

第十五方面，本申请提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面或第一方面的任意可能的实现方式中的方法。

第十六方面，本申请提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第二方面或第二方面的任意可能的实现方式中的方法。

第十七方面，本申请提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第三方面或第三方面的任意可能的实现方式中的方法。

第十八方面，本申请提供了一种芯片，包括：输入接口、输出接口、至少一个处理器、存储器，所述输入接口、输出接口、所述处理器以及所述存储器之间通过总线相连，所述处理器用于执行所述存储器中的代码，当所述代码被执行时，所述处理器用于执行上述第一方面或第一方面的任意可能的实现方式中的方法。

第十九方面，本申请提供了一种芯片，包括：输入接口、输出接口、至少一个处理器、存储器，所述输入接口、输出接口、所述处理器以及所述存储器之间通过总线相连，所述处理器用于执行所述存储器中的代码，当所述代码被执行时，所述处理器用于执行上述第二方面或第二方面的任意可能的实现方式中的方法。

第二十方面，本申请提供了一种芯片，包括：输入接口、输出接口、至少一个处理器、存储器，所述输入接口、输出接口、所述处理器以及所述存储器之间通过总线相连，所述处理器用于执行所述存储器中的代码，当所述代码被执行时，所述处理器用于执行上述第三方面或第三方面的任意可能的实现方式中的方法。

附图说明

图1是本申请实施例的基于服务的网络架构的示意性框图；

图2是本申请实施例的用于调用网络功能服务的方法的示意性流程图；

图3是本申请实施例的令牌的格式示意图；

图4是本申请实施例的另一用于调用网络功能服务的方法的示意性流程图；

图5是本申请实施例的又一用于调用网络功能服务的方法的示意性流程图；

图6是本申请实施例的授权表的格式示意图；

图7是本申请实施例的又一用于调用网络功能服务的方法的示意性流程图；

图8是本申请实施例的用于调用网络功能服务的装置的示意性框图；

图9是本申请实施例的另一用于调用网络功能服务的装置的示意性框图；

图10是本申请实施例的又一用于调用网络功能服务的装置的示意性框图；

图11是本申请实施例的又一用于调用网络功能服务的装置的示意性框图；

图12是本申请实施例的又一用于调用网络功能服务的装置的示意性框图；

图13是本申请实施例的又一用于调用网络功能服务的装置的示意性框图；

图14是本申请实施例的用于调用网络功能服务的系统的示意性框图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

图1示出了本申请实施例提供的基于服务的网络架构的示意性框图。该网络架构以服务为基础，得到多种不同类型的网络功能模块，网络功能模块之间通过服务化接口以网络功能服务调用的方式进行交互。

应理解，本申请实施例中的网络功能模块具有特定功能和网络接口，可以是专用硬件上的网元，也可以是专用硬件上运行的软件实例，还可以是相关平台(如云基础设施上)上的虚拟功能实例，本申请实施例对此不作限定。

下面将结合图1对该基于服务的网络架构中的各个模块进行介绍：

无线接入网络(radio access network，RAN)模块102：负责用户设备(user equipment，UE)101的接入。可以理解的是，在实际表述过程中，RAN也可以简写为AN。

可选地，本申请实施例中的UE可以是移动的或固定的，该UE可以指接入终端、终端设备、移动终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置等。接入终端可以是蜂窝电话、无绳电话、会话启动协议(session initiation protocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字处理(personal digital assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备、未来的第五代(5th generation，5G)系统或新无线(new radio，NR)系统中的用户设备。

访问与移动性管理功能(access and mobility management function，AMF)模块103：负责与现有的移动管理实体(mobile management entity，MME)中的移动性管理类似的功能，用于控制UE对网络资源的访问和对UE的移动进行管理。AMF模块103与RAN模块102互相通信，以对接入网控制面进行处理，其中，N2不是服务化接口。

鉴权服务功能(authentication server function，AUSF)模块104：负责密钥的生成，以及与UE 101之间的双向鉴权。

会话管理功能(session management function，SMF)模块105：负责管理UE的会话，包括会话的建立、修改和释放。

网络开放功能(network exposure function，NEF)模块106：负责将核心网内的网络功能服务安全地提供给外部网络实体服务，以及内外网信息转换等。

网络功能数据库功能(NF repository function，NRF)模块107：负责服务发现等功能。

策略管控功能(policy control function，PCF)模块108：负责管理网络行为的统一策略框架；提供策略规则给控制平面执行等功能。

统一数据管理(unified data management，UDM)模块109：包括前端(front end，FE)和用户数据库(user data repository，UDR)。其中，FE负责信用评级处理、位置管理、订阅管理等功能，并可以访问存储在UDR中的用户订阅数据，UDR是一个用户订阅数据存储服务器，负责向前端提供用户订阅数据。

应用功能(application function，AF)模块110：提供应用服务。

如图1中所示，AMF模块103具有服务化接口NAMF、SMF模块105具有服务化接口NSMF、AUSF模块104具有服务化接口NAUSF、NEF模块106具有服务化接口NNEF、NRF模块107具有服务化接口NNRF、PCF模块108具有服务化接口NPCF、UDM模块109具有服务化接口NUDM、AF模块110具有服务化接口NAF。

应理解，本申请实施例中的各个网络功能模块的服务化接口的还可以为其它名称，本 申请实施例对此不作限定。

在基于服务的网络架构中，各个网络功能模块之间通过服务化接口调用网络功能服务，由于全网的服务化接口支持统一的通信协议，这就意味着，一个具备服务化接口的网络功能模块能够被任意一个具有服务化接口的其他网络功能模块访问，即一个具备服务化接口的网络功能模块提供的网络功能服务能够被任意一个具有服务化接口的其它网络功能模块调用。这样以来，在基于服务的网络架构中可能会产生网络功能服务滥用的问题，安全性能较差。

例如，传统的网络架构中，AF与UDM之间无通信接口，即AF不能直接访问UDM，但是在基于服务的网络架构中，AF具备调用UDM中的网络功能服务的能力，由于UDM中存储有与用户相关的敏感信息，AF能够通过服务化接口任意调用UDM中的网络功能服务，有可能导致用户信息的泄露。

本申请实施例提供的用于调用网络功能服务的方法，能够提高调用网络功能服务的安全性。

图2示出了本申请实施例提供的用于调用网络功能服务的方法200的示意性流程图，该方法200可以应用于如图1中所示的网络架构。

S210，第一网络功能模块向授权模块发送第一请求消息，该第一请求消息用于请求获取第二网络功能模块提供的第一网络功能服务的调用权限，该第一请求消息携带第一信息、第二信息和第三信息，该第一信息用于指示该第一网络功能模块，该第二信息用于指示该第二网络功能模块，该第三信息用于指示该第一网络功能服务；相应地，该授权模块接收该第一网络功能模块发送的该第一请求消息。

应理解，该第一网络功能模块可以提供至少一种网络功能服务，该第二网络功能模块可以提供至少一种网络功能服务，且该第一网络功能模块和该第二网络功能模块提供的网络功能服务不同。

可选地，该授权模块例如可以为图1中所示的NRF模块，该第一网络功能模块和该第二网络功能模块可以为图1中所示的除NRF模块、RAN和UE以外的任意两个网络功能模块。例如，该第一网络功能模块可以为图1中NEF模块，该第二网络功能模块可以为图1中的AF模块，本申请实施例对此不作限定。

可选地，该第一信息可以包括该第一网络功能模块的类型和/或标识，该第二信息可以包括该第二网络功能模块的类型和/或标识，该第三信息可以包括该第一网络功能服务的标识，本申请实施例对此不作限定。

可选地，本申请实施例中的网络功能模块的类型可以包括AMF、SMF、NRF、NEF、AF等，本申请实施例对此不作限定。

可选地，本申请实施例中的网络功能模块的标识可以包括名称、ID(identification)、编号、域名、网络接入标识(network access identifier，NAI)、网络协议(internet protocol，IP)地址等，本申请实施例对此不作限定。

可选地，本申请实施例中的网络功能服务的标识可以包括该网络功能服务的名称、ID、编号等，本申请实施例对此不作限定。

S220，该授权模块根据该第一信息、该第二信息和该第三信息，确定该第一网络功能模块是否具有调用该第一网络功能服务的权限。

作为一个可选实施例，当该第一信息包括该第一网络功能模块的类型，该第二信息包括该第一网络功能模块的类型，该第三信息包括该第一网络功能服务的标识时，该授权模块可以根据该第一网络功能模块的类型、该第二网络功能模块的类型、该第一网络功能服务的标识和预配置的第一授权信息，确定该第一网络功能模块是否具有调用该第一网络功能服务的权限。其中，该第一授权信息用于指示允许调用该第一网络功能服务的网络功能模块的至少一种类型。

具体地，该授权模块可以根据该第二网络功能模块的类型和该第一网络功能服务的标识，获取该第一授权信息；当该第一授权信息指示的至少一种类型包括该第一网络功能模块的类型时，该授权模块确定该第一网络功能模块具有调用该第一网络功能服务的权限；或者当该第一授权信息指示的至少一种类型不包括该第一网络功能模块的类型时，该授权模块确定该第一网络功能模块没有调用该第一网络功能服务的权限。

可选地，该第一授权信息可以包括允许调用该第一网络功能服务的网络功能模块的至少一种类型。

作为另一个可选实施例，该第一信息包括该第一网络功能模块的标识、该第二信息包括该第二网络功能模块的标识，该第三网络功能模块的标识时，该授权模块可以根据该第一网络功能模块的标识、该第二网络功能的标识、该第一网络功能服务的标识和预配置的第二授权信息，确定是否授予该第一网络功能服务的调用权限。其中，该第二授权信息用于指示允许调用该第一网络功能服务的至少一个网络功能模块。

具体地，该授权模块可以根据该第二网络功能模块的标识和该第一网络功能服务的标识，获取该第二授权信息；当该第二授权信息指示的至少一个网络功能模块包括该第一网络功能模块时，该授权模块确定该第一网络功能模块具有调用该第一网络功能服务的权限；或者当该第二授权信息指示的至少一个网络功能模块不包括该第一网络功能模块时，该授权模块确定该第一网络功能模块没有调用该第一网络功能服务的权限。

可选地，该第二授权信息可以包括允许调用该第一网络功能服务的至少一个网络功能模块中每个网络功能模块的标识。

作为又一个可选实施例，该第一信息包括该第一网络功能模块的类型和该第一网络功能模块的标识，该第二网络功能模块包括该第二网络功能模块的类型和该第二网络功能模块的标识，该第三信息包括该第一网络功能服务的标识时，该授权模块可以根据该第一网络功能模块的类型、该第一网络功能模块的标识，该第二网络功能模块的类型、该第二网络功能模块的标识和预配置的第三授权信息，确定该第一网络功能模块是否具有调用该第一网络功能服务的权限。其中，该第三授权信息用于指示允许调用该第一网络功能服务的网络功能模块的至少一种类型，以及该至少一种类型中每种类型对应的至少一个网络功能模块。

具体地，该授权模块可以根据该第二网络功能模块的类型、该第二网络功能模块的标识和该第一网络功能服务的标识，获取该第三授权信息；当第三授权信息指示的该至少一种类型包括该第一网络功能模块的类型，且该至少一个网络功能模块包括该第一网络功能模块时，该授权模块确定该第一网络功能模块具有调用该第一网络功能服务的权限；或者当该至少一种类型不包括该第一网络功能模块的类型，或者当该第三授权信息指示的至少一个网络功能模块不包括该第一网络功能模块时，该授权模块确定该第一网络功能模块没 有调用该第一网络功能服务的权限。

可选地，该第三授权信息可以包括允许调用该第一网络功能服务的网络功能模块的至少一种类型，以及与每种类型对应的至少一个网络功能模块中每个网络功能模块的标识。

可选地，该第一请求消息还可以携带该第一网络功能模块所属的网络切片的标识、为该第一网络功能模块提供服务的运营商的标识、该第一网络功能模块的服务请求参数中的至少一项，本申请实施例对此不作限定。

应理解，网络切片可以理解为能够提供特定网络能力和网络特性的逻辑网络，一个网络切片中可以包括多个网络功能模块。

可选地，本申请实施例中的网络切片的标识可以为该网络切片的名称、域名、ID、编号等；网络该运营商的标识可以为公共陆地移动网络(public land mobile network，PLMN)ID、名称、编号等，本申请实施例对此不做限定。

相应地，S220可以为该授权模块根据该第一网络功能模块所属的网络切片的标识、为该第一网络功能模块提供服务的运营商的标识、该第一网络功能模块的服务请求参数中的至少一项以及该第一信息、该第二信息和该第三信息，确定该第一网络功能模块是否具有调用该第一网络功能服务的权限。

应理解，该第一网络功能模块调用第一网络功能服务为不同用户设备提供服务时，可能具有不同的权限，由于授权模块中并未存储与用户设备相关的授权策略，因此，本申请实施例提供的网络架构中还可以包括用户数据管理模块，该授权模块可以向该用户数据管理模块请求该用户设备对应的该第一网络功能服务的授权策略。

可选地，该用户数据管理模块可以为如图1中所示的UDM，本申请实施例对此不作限定。

可选地，当该第一网络功能服务为用户设备提供服务时，在S220之前，该授权模块可以向用户数据管理模块发送第二请求消息，该第二请求消息用于请求该用户设备对应的该第一网络功能服务的授权策略，且该第二请求消息携带该用户设备的标识，该授权策略用于指示是否授予该第一网络功能模块调用该用户设备对应的该第一网络功能服务的权限；该授权模块接收该用户数据管理模块根据该用户设备的标识发送的授权策略。

相应地，S220可以为该授权模块根据该第一信息、该第二信息、该第三信息和该授权策略，确定该第一网络功能模块是否具有调用该第一网络功能服务的权限。

可选地，该用户数据管理模块中可以预先配置网络中至少一个用户设备中每个用户设备对应的至少一种网络功能服务的授权策略或授权规则，本申请实施例对此不作限定。

S230，当确定该第一网络功能模块具有调用该第一网络功能服务的权限时，该授权模块向该第一网络功能模块发送令牌，该令牌用于指示该第一网络功能模块具有调用该第二网络功能模块的该第一网络功能服务的权限；相应地，该第一网络功能模块接收该授权模块发送的该令牌。

可选地，在S230之前，该方法还包括：该授权模块生成该令牌。

可选地，在S230之前，该授权模块可以对该第一网络功能模块进行身份认证；S230可以为当确定身份认证成功，且该第一网络功能模块具有调用该第一网络功能服务的权限时，该授权模块向该第一网络功能模块发送该令牌。

本申请实施例提供的用于调用网络功能服务的方法，授权模块在对该第一网络功能模 块的身份认证成功时，向该第一网络功能模块发送该令牌，能够提高授权的安全性。

可选地，该第一网络功能模块也可以对该授权模块进行身份认证，从而能够进一步增强通信的安全性。

可选地，本申请实施例中的身份认证的方法可以包括基于对称密钥的加密算法或基于非对称加密的加密算法，本申请实施例对此不作限定。

图3示出了本申请实施例提供的令牌的格式示意图。

如图3所示，该令牌可以携带第四信息、第五信息和第六信息，该第四信息用于指示请求调用网络功能服务的网络功能模块为该第一网络功能模块，该第五信息用于指示提供网络功能服务的网络功能模块为该第二网络功能模块，该第六信息用于指示该第一网络功能模块有权限调用的、该第二网络功能模块提供的至少一种网络功能服务，该至少一种网络功能服务包括该第一网络功能服务。

可选地，该第四信息可以包括请求调用网络功能服务的网络功能模块的类型和/或标识，该第五信息可以包括提供网络功能服务的网络功能模块的类型和/或标识，该第六信息可以包括该至少一种网络功能服务中每种网络功能服务的标识，本申请实施例对此不作限定。

如图3所示，该令牌还可以携带该令牌的标识、消息验证码(数字签名)和该消息验证码(数字签名)的算法。

例如，消息验证码的计算方法可以为MAC(info,K)，其中，info包括令牌中记录的信息(除消息验证码和数字签名外)，K为授权模块和第一网络功能模块共享的对称密钥，MAC为消息认证码的计算函数，例如基于哈希消息验证码(keyed-hash message authentication code，HMAC)算法。

又例如，数字签名的计算方法可以为E(PRAS,info)，其中，info包括令牌中记录的信息(除消息验证码和数字签名外)，PRAS为授权模块的私钥，E为非对称加密算法，例如RSA(Rivest–Shamir–Adleman)算法。

如图3所示，该令牌还可以携带该令牌的生效时间和失效时间中的至少一项或有效期。其中，当该令牌携带生效时间或失效时间时，该令牌还可以携带有效时长。

例如，本申请实施例中该令牌的生效时间为2017年01月01日12点38分21秒，可以表示为：20170101123821；该令牌的失效时间为2017年02月01日14点40分51秒，可以表示为：20170201144051；该令牌的有效期为生效时间至失效时间(即2017年1月1日12点38分21秒至2017年2月1日14点40分51秒)，可以表示为20170101123821～20170201144051；有效时长可以为失效时间与生效时间之间的时间差(即1月0日2小时2分钟30秒)，可以表示为00000100020230。

如图3所示，该令牌还可以携带运营商的标识(例如PLMN ID)或颁发所述令牌的授权模块的标识，本申请实施例对此不作限定。

图4示出了本申请实施例提供的用于调用网络功能服务的方法400的示意性流程图。该方法400例如可以应用于如图1所示的网络架构。

S410，第一网络功能模块向第二网络功能模块发送第四请求消息，该第四请求消息用于请求调用该第二网络功能模块提供的第一网络功能服务，且该第四请求消息携带第一信息、第二信息、第三信息和令牌，该第一信息用于指示该第一网络功能模块，该第二信息 用于指示该第二网络功能模块、该第三信息用于指示该第一网络功能服务，该令牌携带第四信息、第五信息和第六信息，该第四信息用于指示请求调用网络功能服务的网络功能模块，该第五信息用于指示提供网络功能服务的网络功能模块，该第六信息用于指示该第一网络功能模块有权限调用的、该第二网络功能模块提供的至少一种网络功能服务；相应地，该第二网络功能模块接收该第一网络功能模块发送的该第四请求消息。

可选地，该第一信息可以包括该第一网络功能模块的类型和/或标识，该第二信息可以包括该第二网络功能模块的类型和/或标识，该第三信息可以包括该第一网络功能服务的标识，本申请实施例对此不作限定。

可选地，该第四信息可以包括请求调用网络功能服务的网络功能模块的类型和/或标识，该第五信息可以包括提供网络功能服务的网络功能模块的类型和/或标识，该第六信息可以包括该至少一种网络功能服务中每种网络功能服务的标识，本申请实施例对此不作限定。

可选地，本申请实施例中的网络功能模块的类型可以包括AMF、SMF、NRF、NEF、AF等，本申请实施例对此不作限定。

可选地，本申请实施例中的网络功能模块的标识可以包括名称、ID、编号、域名、NAI、IP地址等，本申请实施例对此不作限定。

可选地，本申请实施例中的网络功能服务的标识可以包括该网络功能服务的名称、ID、编号等，本申请实施例对此不作限定。

S420，该第二网络功能模块确定该第四信息指示的网络功能模块与该第一网络功能模块是否相同，该第五信息指示的网络功能模块与该第二网络功能模块是否相同，以及该第六信息指示的该至少一种网络功能服务是否包括该第一网络功能服务。

具体地，该第二网络功能模块可以对该第四请求消息中的信息与该令牌中的信息进行匹配，即对该第四请求消息中的该第一信息和该令牌中的该第四信息进行匹配，对该第四请求消息中的该第二信息和该令牌中该第五信息进行匹配，对该第四请求消息中的第三信息和该令牌中的第六信息进行匹配，得到匹配结果。

S430，当确定该第四信息指示的网络功能模块与该第一网络功能模块相同，该第五信息指示的网络功能模块与该第二网络功能模块相同，且该第六信息指示的至少一种网络功能服务包括该第一网络功能服务时，该第二网络功能模块向该第一网络功能模块发送该第一网络功能服务的服务响应消息。

相应地，当确定该请求授权的网络功能模块与该第一网络功能模块不同，或该被授权的网络功能模块与该第二网络功能模块不同，或该被授权的至少一个网络功能服务不包括该第一网络功能服务时，该第二网络功能模块拒绝向该第一网络功能模块发送该第一网络功能服务的服务响应消息。

应理解，该第一网络功能模块可以提供至少一种网络功能服务，该第二网络功能模块可以提供至少一种网络功能服务，且该第一网络功能模块和该第二网络功能模块提供的网络功能服务不同。

可选地，该授权模块例如可以为图1中所示的NRF模块，该第一网络功能模块和该第二网络功能模块可以为图1中所示的除NRF模块、UE和RAN以外的任意两个网络功能模块。例如，该第一网络功能模块可以为图1中NEF模块，该第二网络功能模块可以 为图1中的AF模块，本申请实施例对此不作限定。

可选地，第一信息可以包括该第一网络功能模块的类型和/或标识，该第二信息可以包括该第二网络功能模块的类型和/或标识，该第三信息可以包括该第一网络功能服务的标识，本申请实施例对此不作限定。

应理解，当授权模块发现某个网络功能模块被入侵或者非法访问，或者由于运营商调整网络管理策略需要关闭该网络功能模块的访问权限，该授权模块可以撤销对该网络功能模块中的网络功能服务颁发的令牌，即该授权模块需要确认已被撤销的至少一个令牌。

可选地，该授权模块可以向该第二网络功能模块指示已被撤销的至少一个令牌，该第二网络功能模块自己验证令牌的有效性；或者该第二网络功能模块可以将该令牌发送给授权模块，请求授权模块验证该令牌的有效性，以得到验证结果，并将验证结果发送给该第二网络功能模块，本申请实施例对此不作限定。

可选地，该令牌可以包括该令牌的标识。

作为一个可选实施例，在S430之前，该第二网络功能模块可以向该授权模块发送该第三请求消息，该第三请求消息携带该令牌；该授权模块可以根据该令牌的标识和本地存储的已被撤销的至少一个令牌的标识，验证该令牌的有效性，以得到第一验证结果，并向该第二网络功能模块发送该第一验证结果；相应地，该第二网络功能模块接收该授权模块根据该第三请求消息发送的第一验证结果，该第一验证结果包括有效或无效。S430可以为当确定该第一验证结果为有效，该请求授权的网络功能模块与该第一网络功能模块相同，该被授权的网络功能模块与该第二网络功能模块相同，且该被授权的至少一个网络功能服务包括该第一网络功能服务时，该第二网络功能模块向该第一网络功能模块发送该第一网络功能服务的服务响应消息。

相应地，当确定该第一验证结果为无效，或该请求授权的网络功能模块与该第一网络功能模块不同，或该被授权的网络功能模块与该第二网络功能模块不同，或该被授权的至少一个网络功能服务不包括该第一网络功能服务时，该第二网络功能模块拒绝向该第一网络功能模块发送该第一网络功能服务的服务响应消息。

可选地，该第二网络功能模块根据该令牌的标识和本地存储的已被撤销的至少一个令牌的标识，验证该令牌的有效性，以得到第一验证结果，可以为该第二网络功能模块确定该至少一个令牌的标识中是否包括该令牌的标识，当该至少一个令牌的标识中包括该令牌的标识时，确定该第一验证结果为无效，当该至少一个令牌的标识中不包括该令牌的标识时，确定该第一验证结果为无效。

可选地，该授权模块可以通过至少一个比特指示该第一验证结果，本申请实施例对此不作限定。

例如，该授权模块可以通过1个比特指示该第一验证结果，该1个比特为1表示有效，该1个比特为0表示无效。

作为另一个可选实施例，在S430之前，该第二网络功能模块可以接收该授权模块发送的第七信息，该第七信息包括已被撤销的至少一个令牌的标识；确定该至少一个令牌的标识中是否包括该令牌的标识。S430可以为当确定该至少一个令牌的标识不包括该令牌的标识，该请求授权的网络功能模块与该第一网络功能模块相同，该被授权的网络功能模块与该第二网络功能模块相同，且该被授权的至少一个网络功能服务包括该第一网络功能 服务时，该第二网络功能模块向该第一网络功能模块发送该第一网络功能服务的服务响应消息。

相应地，当确定该至少一个令牌的标识包括该令牌的标识，或该请求授权的网络功能模块与该第一网络功能模块不同，或该被授权的网络功能模块与该第二网络功能模块不同，或该被授权的至少一个网络功能服务不包括该第一网络功能服务时，该第二网络功能模块拒绝向该第一网络功能模块发送该第一网络功能服务的服务响应消息。

可选地，该授权模块可以周期性向该第二网络功能模块发送该第七信息，或者该授权模块可以根据该第二网络模块的请求向该第二网络功能模块发送该第七信息，本申请实施例对此不作限定。

本申请实施例提供的用于调用网络功能服务的方法，授权模块或第二网络功能模块根据已被撤销的至少一个令牌的标识中是否包括用于调用该第一网络功能服务时使用的令牌的标识，确认该令牌是否已被撤销，能够防止使用已被撤销的无效令牌调用网络功能服务，从能够提高调用网络功能服务的安全性。

此外，授权模块将已被撤销的至少一个令牌指示给第二网络功能模块，以使得第二网络功能模块能够自己确认令牌的有效性，而无需每次将令牌发送给授权模块确认，从而能够减少信令的开销。

可选地，该令牌还可以携带消息验证码和数字签名中的至少一项。

作为一个可选实施例，在S430之前，该第二网络功能模块可以验证该消息验证码和/或该数字签名，得到第二验证结果，该第二验证结果可以为成功或失败。S440可以为当确定该第二验证结果为成功，该请求授权的网络功能模块与该第一网络功能模块相同，该被授权的网络功能模块与该第二网络功能模块相同，且该被授权的至少一个网络功能服务包括该第一网络功能服务时，该第二网络功能模块向该第一网络功能模块发送该第一网络功能服务的服务响应消息。

相应地，当确定该第二验证结果为失败，或该请求授权的网络功能模块与该第一网络功能模块不同，或该被授权的网络功能模块与该第二网络功能模块不同，或该被授权的至少一个网络功能服务不包括该第一网络功能服务时，该第二网络功能模块拒绝向该第一网络功能模块发送该第一网络功能服务的服务响应消息。

可选地，该第二网络功能模块可以通过至少一个比特指示该第一验证结果。

例如，该第二网络模块可以通过1比特指示该第一验证结果，该1比特为1表示成功，该1比特为0表示失败。

本申请实施例提供的用于调用网络功能服务的方法，第二网络功能模块对消息验证码或数字签名进行验证，验证通过后才给该第一网络功能模块提供该第一网络功能服务，能够提高调用网络功能服务的安全性。

可选地，该令牌还携带该令牌的生效时间和失效时间中的至少一项或有效期。其中，当该令牌携带生效时间或失效时间时，该令牌还可以携带有效时长。

应理解，该令牌的有效期可以为生效时间+失效时间，或者生效时间+有效时长。

作为一个可选实施例，在S430之前，该第二网络功能模块可以根据该令牌的生效时间和失效时间中的至少一项或有效期，验证该令牌的有效期，以得到第三验证结果，该第三验证结果可以为有效或无效。S430可以为当确定该第三验证结果为有效，该请求授权 的网络功能模块与该第一网络功能模块相同，该被授权的网络功能模块与该第二网络功能模块相同，且该被授权的至少一个网络功能服务包括该第一网络功能服务时，该第二网络功能模块向该第一网络功能模块发送该第一网络功能服务的服务响应消息。

作为一个可选实施例，该授权模块可以根据当前时间晚于该令牌的生效时间，且早于该令牌的失效时间，确定该令牌有效。

作为另一个可选实施例，该授权模块可以根据当前时间在该令牌的有效期内，确定该令牌有效。

相应地，当确定该第三验证结果为无效，或该请求授权的网络功能模块与该第一网络功能模块不同，或该被授权的网络功能模块与该第二网络功能模块不同，或该被授权的至少一个网络功能服务不包括该第一网络功能服务时，该第二网络功能模块拒绝向该第一网络功能模块发送该第一网络功能服务的服务响应消息。

本申请实施例提供的用于调用网络功能服务的方法，第二网络功能模块根据令牌中的该令牌的生效时间和失效时间中的至少一项或有效期，验证该令牌的是否有效，能够防止使用过期的无效令牌调用网络功能服务，从能够提高调用网络功能服务的安全性。

可选地，在S430之前，该第二网络功能模块可以对该第一网络功能模块进行身份认证；S430可以为当身份认证成功，该请求授权的网络功能模块与该第一网络功能模块相同，该被授权的网络功能模块与该第二网络功能模块相同，且该被授权的至少一个网络功能服务包括该第一网络功能服务时，该第二网络功能模块向该第一网络功能模块发送该第一网络功能服务的服务响应消息。

相应地，当确定身份认证失败，或该请求授权的网络功能模块与该第一网络功能模块不同，或该被授权的网络功能模块与该第二网络功能模块不同，或该被授权的至少一个网络功能服务不包括该第一网络功能服务时，该第二网络功能模块拒绝向该第一网络功能模块发送该第一网络功能服务的服务响应消息。

本申请实施例提供的用于调用网络功能服务的方法，第二网络功能模块在对该第一网络功能模块的身份认证成功时，向该第一网络功能模块发送服务响应消息，能够提高调用网络功能服务的安全性。

可选地，该第一网络功能模块也可以对该第二网络功能模块进行身份认证，从而能够进一步增强通信的安全性。

可选地，本申请实施例中的身份认证的方法可以包括基于对称密钥的加密算法或基于非对称加密的加密算法，本申请实施例对此不作限定。

应理解，第二网络功能模块可以执行上述提供的一种或多种方式确定是否向第一网络功能模块发送该服务响应消息，本申请实施例对此不作限定。

应理解，本申请实施例中的令牌在有效期内可以重复使用，无需每次请求网络功能服务需要获取令牌，能够节省信令的开销。其中，该有效期的起始时间可以为该令牌的生效时间，该有效期的结束时间可以为该令牌的失效时间，本申请实施例对此不作限定。

还应理解，本申请实施例中的令牌携带第六信息，该第六信息用于指示被授权的至少一种网络功能服务，当该第一网络功能模块请求该至少一个网络功能服务中任一网络功能服务时，无需再次向该授权模块请求令牌，能够进一步节省信令的开销。

例如，该第六信息指示的至少一个网络功能服务包括该第二网络功能模块提供的第二 网络功能服务时，该第一网络功能模块还可以使用该令牌调用该第二网络功能服务。

又例如，在有效期内，该第一网络功能模块可以多次使用该令牌调用该被授权的至少一个网络功能服务。

图5示出了本申请实施例提供的用于调用网络功能服务的方法500的示意性流程图，该方法500例如可以应用于如图1中所示的网络架构。

S510，该第一网络功能模块向该授权模块发送第一请求消息，该第一请求消息用于请求获取第二网络功能模块提供的第一网络功能服务的调用权限，该第一请求消息携带第一信息、第二信息和第三信息，该第一信息用于指示该第一网络功能模块，该第二信息用于指示该第二网络功能模块，该第三信息用于指示该第一网络功能服务；相应地，该授权模块接收该第一网络功能模块发送的该第一请求消息。

可选地，该第一网络功能模块例如可以为图1中所示的AMF模块，该第二网络功能模块例如可以为图1中所示的AUSF模块，该授权模块例如可以为图1中所示的NRF模块，本申请实施例对此不作限定。

例如，该AMF模块可以向该NRF模块发送该第一请求消息，该第一请求消息用于请求获取AUSF模块提供的用户认证(NAUSF_UE Authentication)服务，该第一请求消息携带AMF模块的ID、该AUSF模块的ID和该UE Authentication服务的ID。

S520，该授权模块根据该第一信息、该第二信息和该第三信息，确定该第一网络功能模块是否具有调用该第一网络功能服务的权限。

例如，该NRF模块可以根据该AMF模块的ID、该AUSF模块的ID和该UE Authentication服务的ID，确定该AMF是否具有调用该UE Authentication服务的权限。

可选地，假设该AMF模块的ID为amf0.5gc.mnc000.mcc460.3gppnetwork.org、该第二网络功能模块的ID为ausf1.5gc.mnc000.mcc460.3gppnetwork.org该UE Authentication服务的ID为NAUDF_UE Authentication，则该授权信息例如可以为UE Authentication服务的授权表。

具体地，该NRF模块可以根据该AUSF模块的ID和该UE Authentication服务的ID，从本地存储的多个授权表中获取如图6所示的授权表；该NRF模块可以根据该授权表中的至少一个网络功能模块的标识中包括该AMF模块的标识，确定该AMF模块具有调用该UE Authentication服务的权限。

应理解，图6所示的授权表仅为授权信息的一种可选的表现形式，该授权信息还可以为映射表、映射图等能够表示该授权信息的形式，本申请实施例对此不作限定。

S530，当确定该第一网络功能模块具有调用该第一网络功能服务的权限时，该授权模块向该第一网络功能模块发送令牌，该令牌携带第四信息、第五信息和第六信息，该第四信息用于指示请求调用网络功能服务的网络功能模块为该第一网络功能模块，该第五信息用于指示提供网络功能服务的网络功能模块为该第二网络功能模块，该第六信息用于指示该第一网络功能模块有权限调用的、该第二网络功能模块提供的至少一种网络功能服务，该至少一种网络功能服务包括该第一网络功能服务；相应地，该第一网络功能模块接收该授权模块发送的该令牌。

S540，该第一网络功能模块向该第二网络功能模块发送第二请求消息，该第二请求消息用于请求调用该第一网络功能服务，且该第二请求消息携带该第一信息、该第二信息、 该第三信息和该令牌；相应地，该第二网络功能模块接收该第一网络功能模块发送的该第二请求消息。

例如，该AMF模块可以向AUSF模块发送第二请求消息，该第二请求消息用于请求UE AUthentication服务，且该第二请求消息携该AMF模块的ID、该AUSF模块的ID、该UE AUthentication服务的ID，和如图3中所示的令牌。

S550，该第二网络功能模块确定该第四信息指示的网络功能模块与该第一网络功能模块是否相同，该第五信息指示的网络功能模块与该第二网络功能模块是否相同，以及该第六信息指示的该至少一种网络功能服务是否包括该第一网络功能服务。

具体地，该第二网络功能模块可以将该第二请求消息中的信息与该令牌中的信息进行匹配，得到匹配结果。

S560，当确定该第四信息指示的网络功能模块与该第一网络功能模块相同，该第五信息指示的网络功能模块与该第二网络功能模块相同，且该第六信息指示的至少一种网络功能服务包括该第一网络功能服务时，该第二网络功能模块向该第一网络功能模块发送该第一网络功能服务的服务响应消息；相应地，该第一网络功能模块接收该第二网络功能模块发送的该服务响应消息。

例如，如图3中所示，该AUSF模块根据请求调用网络功能服务的网络功能模块的标识与该AMF模块的ID相同，提供网络功能服务的网络功能模块的标识与该AUSF模块的ID相同，以及网络功能服务列表中包括该UE Authentication服务的ID，向该第一网络功能模块发送该UE Authentication服务的服务响应消息。

可选地，该UE Authentication服务的服务响应消息可以包括与UE Authentication服务请求相关的信息，或UE Authentication服务执行完毕时反馈的ACK(ACKnowledgement)，本申请实施例对此不作限定。

图7示出了本申请实施例提供的用于调用网络功能服务的方法，该方法例如可以应用于如图1中所示的网络架构。

S710，该第一网络功能模块向第二网络功能模块发送第一请求消息，该第一请求消息用于请求调用第二网络功能模块提供的第一网络功能服务，该第一请求消息携带第一信息、第二信息和第三信息，该第一信息用于指示该第一网络功能模块，该第二信息用于指示该第二网络功能模块，该第三信息用于指示该第一网络功能服务；相应地，该第二网络功能模块接收该第一网络功能模块发送的该第一请求消息。

可选地，该第一网络功能模块例如可以为图1中所示的AMF模块，该第二网络功能模块例如可以为图1中所示的AUSF模块，该授权模块例如可以为图1中所示的NRF模块，本申请实施例对此不作限定。

例如，该AMF模块可以向该AUSF模块发送该第一请求消息，该第一请求消息用于请求获取AUSF模块提供的用户认证(NAUSF_UE Authentication)服务，该第一请求消息携带AMF模块的标识(identification，ID)、该AUSF模块的ID和该UE Authentication服务的ID。

S720，该第二网络功能模块根据该第一信息、该第二信息和该第三信息，向该授权模块发送第二请求消息，该第二请求消息用于请求验证该第一网络功能模块调用该第一网络功能服务的权限，且该第二请求消息携带该第一信息、该第二信息和该第三信息；相应地， 该授权模块接收该第二网络功能模块发送的该第二请求消息。

例如，该AUSF模块可以根据该第一请求消息，向该NRF模块发送第二请求消息，该第二请求消息用于请求验证该AMF模块调用该UE Authentication服务的权限，且该第二请求消息携带该AMF模块的ID、该AUSF模块的ID和该UE Authentication服务的ID。

S730，该授权模块根据该第一信息、该第二信息和该第三信息，验证该第一网络功能模块是否具有调用该第一网络功能服务的权限，以得到验证结果，该验证结果包括该第一网络功能模块具有调用该第一网络功能服务的权限或该第一网络功能模块不具有调用该第一网络功能服务的权限。

可选地，该授权模块可以通过至少一个比特指示该验证结果，本申请实施例对此不作限定。

作为一个可选实施例，该授权模块可以通过1比特指示该验证结果，例如，通过该1比特为1表示该第一网络功能模块具有调用该第一网络功能服务的权限，通过该1比特为0表示该第一网络功能模块不具有调用该第一网络功能服务的权限。

例如，该NRF模块可以根据该AUSF模块的ID和该UE Authentication服务的ID，从本地存储的多个授权表中获取图7中所示的授权表；该NRF模块可以根据该授权表中的至少一个网络功能模块的标识中包括该AMF模块的标识，确定该AMF模块具有调用该UE Authentication服务的权限。

S740，该授权模块向该第二网络功能模块发送该验证结果；相应地，该第二网络功能模块接收该授权模块发送的该验证结果。

例如，该NRF模块向该AUSF模块发送验证结果，该验证结果用于指示该AMF模块具有调用该UE Authentication服务的权限。

S750，当该验证结果为该第一网络功能模块具有调用该第一网络功能服务的权限时，该第二网络功能模块向该第一网络功能模块发送该第一网络功能服务的服务响应消息；相应地，该第一网络功能模块接收该第二网络功能模块发送的该服务响应消息。

例如，该AUSF模块根据该验证结果指示该AMF模块具有调用该UE Authentication服务的权限，向该AMF模块发送该UE Authentication服务的服务响应消息。

上面结合图1至图7详细描述了本申请实施例提供的用于调用网络功能服务的方法，下面将结合图8至图14描述本申请实施例提供的用于调用网络功能服务的装置。

图8示出了本申请实施例提供的用于调用网络功能服务的装置800，该装置800包括：

接收单元810，用于接收第一网络功能模块发送的第一请求消息，该第一请求消息用于请求获取第二网络功能模块提供的第一网络功能服务的调用权限，该第一请求消息携带第一信息、第二信息和第三信息，该第一信息用于指示该第一网络功能模块，该第二信息用于指示该第二网络功能模块，该第三信息用于指示该第一网络功能服务.

处理单元820，用于根据该接收单元810接收的该第一信息、该第二信息和该第三信息，确定该第一网络功能模块是否具有调用该第一网络功能服务的权限。

发送单元830，用于当该处理单元820确定该第一网络功能模块具有调用该第一网络功能服务的权限时，向该第一网络功能模块发送令牌，该令牌用于指示该第一网络功能模块具有调用该第二网络功能模块的该第一网络功能服务的权限。

可选地，该令牌携带第四信息、第五信息和第六信息，该第四信息用于指示请求调用 网络功能服务的网络功能模块为该第一网络功能模块，该第五信息用于指示提供网络功能服务的网络功能模块为该第二网络功能模块，该第六信息用于指示该第一网络功能模块有权限调用的、该第二网络功能模块提供的至少一种网络功能服务，该至少一种网络功能服务包括该第一网络功能服务。

可选地，该第一网络功能服务是为用户设备服务的，该发送模块还用于向用户数据管理模块发送第二请求消息，该第二请求消息用于请求该用户设备对应的该第一网络功能服务的授权策略，且该第二请求消息携带该用户设备的标识，该授权策略用于指示是否授予该第一网络功能模块调用该用户设备对应的该第一网络功能服务的权限；该接收单元还用于接收该用户数据管理模块根据该用户设备的标识发送的授权策略；该处理单元具体用于根据该第一信息、该第二信息、该第三信息和该授权策略，确定该第一网络功能模块是否具有调用该第一网络功能服务的权限。

可选地，该发送单元还用于向该第二网络功能模块发送第七信息，该第七信息包括已被撤销的至少一个令牌的标识。

可选地，该令牌还携带该令牌的标识，该接收单元还用于接收该第二网络功能模块发送的第三请求消息，该第三请求消息携带该令牌；该处理单元还用于根据该令牌的标识，对该令牌的有效性进行验证，以得到验证结果；该发送单元还用于向该第二网络功能模块发送该验证结果。

应理解，这里的装置800以功能单元的形式体现。这里的术语“单元”可以指应用特有集成电路(application specific integrated circuit，ASIC)、电子电路、用于执行一个或多个软件或固件程序的处理器(例如共享处理器、专有处理器或组处理器等)和存储器、合并逻辑电路和/或其它支持所描述的功能的合适组件。在一个可选例子中，本领域技术人员可以理解，装置800可以具体为上述方法200至方法600实施例中的授权模块，装置800可以用于执行上述方法200至方法600实施例中与授权模块对应的各个流程和/或步骤，为避免重复，在此不再赘述。

图9示出了本申请实施例提供的用于调用网络功能服务的装置900，该装置900包括：

发送单元910，用于向第二网络功能模块发送第四请求消息，该第四请求消息用于请求调用该第二网络功能模块提供的第一网络功能服务，且该第四请求消息携带第一信息、第二信息、第三信息和令牌，该第一信息用于指示该第一网络功能模块，该第二信息用于指示该第二网络功能模块，该第三信息用于指示该第一网络功能服务，该令牌用于指示该第一网络功能模块具有调用该第二网络功能模块的该第一网络功能服务的权限；

接收单元920，用于接收该第二网络功能模块发送的该第一网络功能服务的服务响应消息，该服务响应消息是根据该发送单元910发送的该第一信息、该第二信息、该第三信息和该令牌发送的。

可选地，该令牌携带第四信息、第五信息和第六信息，该第四信息用于指示请求调用网络功能服务的网络功能模块，该第五信息用于指示提供网络功能服务的网络功能模块，该第六信息用于指示该第一网络功能模块有权限调用的、该第二网络功能模块提供的至少一种网络功能服务。

可选地，该发送单元还用于在向第二网络功能模块发送第四请求消息之前，向授权模块发送第一请求消息，该第一请求消息用于请求获取该第一网络功能服务的调用权限，该 第一请求消息携带该第一信息、该第二信息和该第三信息；该接收单元还用于接收该授权模块发送的该令牌，该令牌是根据该第一信息、该第二信息和该第三信息发送的。

应理解，这里的装置900以功能单元的形式体现。这里的术语“单元”可以指ASIC、电子电路、用于执行一个或多个软件或固件程序的处理器(例如共享处理器、专有处理器或组处理器等)和存储器、合并逻辑电路和/或其它支持所描述的功能的合适组件。在一个可选例子中，本领域技术人员可以理解，装置900可以具体为上述方法200至方法600实施例中的第二网络节点，装置900可以用于执行上述方法200至方法600实施例中与第一网络功能模块对应的各个流程和/或步骤，为避免重复，在此不再赘述。

图10示出了本申请实施例提供的用于调用网络功能服务的装置1000，该装置1000包括：

接收单元1010，用于接收第一网络功能模块发送的第四请求消息，该第四请求消息用于请求调用该第二网络功能模块提供的第一网络功能服务，且该第四请求消息携带第一信息、第二信息、第三信息和令牌，该第一信息用于指示该第一网络功能模块，该第二信息用于指示该第二网络功能模块、该第三信息用于指示该第一网络功能服务，该令牌携带第四信息、第五信息和第六信息，该第四信息用于指示请求调用网络功能服务的网络功能模块，该第五信息用于指示提供网络功能服务的网络功能模块，该第六信息用于指示该第一网络功能模块有权限调用的、该第二网络功能模块提供的至少一种网络功能服务。

处理单元1020，用于确定该接收单元1010接收的该第四信息指示的网络功能模块与该第一网络功能模块是否相同，该第五信息指示的网络功能模块与该第二网络功能模块是否相同，以及该第六信息指示的该至少一种网络功能服务是否包括该第一网络功能服务；

发送单元1030，用于当该处理单元1020确定该第四信息指示的网络功能模块与该第一网络功能模块相同，该第五信息指示的网络功能模块与该第二网络功能模块相同，且该第六信息指示的至少一种网络功能服务包括该第一网络功能服务时，向该第一网络功能模块发送该第一网络功能服务的服务响应消息。

可选地，该令牌还携带该令牌的标识，该接收单元还用于接收该授权模块发送的第七信息，该第七信息包括已被撤销的至少一个令牌的标识；该处理单元还用于确定该至少一个令牌的标识中是否包括该令牌的标识；该发送单元具体用于当确定该至少一个令牌的标识不包括该令牌的标识，该第四信息指示的网络功能模块与该第一网络功能模块相同，该第五信息指示的网络功能模块与该第二网络功能模块相同，且该第六信息指示的至少一种网络功能服务包括该第一网络功能服务时，向该第一网络功能模块发送该第一网络功能服务的服务响应消息。

可选地，该令牌还携带该令牌的标识，该发送单元还用于向该授权模块发送第三请求消息，该第三请求消息用于请求验证该令牌的有效性，且该第三请求消息携带该令牌；该接收单元还用于接收该授权模块根据该令牌的标识发送的验证结果，该验证结果为有效或无效；该发送单元具体用于当确定该验证结果为有效，该第四信息指示的网络功能模块与该第一网络功能模块相同，该第五信息指示的网络功能模块与该第二网络功能模块相同，且该第六信息指示的至少一种网络功能服务包括该第一网络功能服务时，向该第一网络功能模块发送该第一网络功能服务的服务响应消息。

应理解，这里的装置1000以功能单元的形式体现。这里的术语“单元”可以指ASIC、 电子电路、用于执行一个或多个软件或固件程序的处理器(例如共享处理器、专有处理器或组处理器等)和存储器、合并逻辑电路和/或其它支持所描述的功能的合适组件。在一个可选例子中，本领域技术人员可以理解，装置1000可以具体为上述方法200至方法600实施例中的第二网络功能模块，装置1000可以用于执行上述方法200至方法600实施例中与第二网络功能模块对应的各个流程和/或步骤，为避免重复，在此不再赘述。

图11示出了本申请实施例提供的用于调用网络功能服务的装置1100，该装置1100可以是图2至图6中所述的授权模块，该授权模块可以采用如图11所示的硬件架构。该授权模块可以包括处理器1110、收发器1120和存储器1130，该处理器1110、收发器1120和存储器1130通过内部连接通路互相通信。图8中的处理单元820所实现的相关功能可以由处理器1110来实现，接收单元810和发送单元830所实现的相关功能可以由处理器1110控制收发器1120来实现。

该处理器1110可以包括是一个或多个处理器，例如包括一个或多个中央处理单元(central processing unit，CPU)，在处理器是一个CPU的情况下，该CPU可以是单核CPU，也可以是多核CPU。

该收发器1120用于发送和接收数据和/或信号，以及接收数据和/或信号。该收发器可以包括发射器和接收器，发射器用于发送数据和/或信号，接收器用于接收数据和/或信号。

该存储器1130包括但不限于是随机存取存储器(random access memory，RAM)、只读存储器(read-only memory，ROM)、可擦除可编程存储器(erasable programmable read only memory，EPROM)、只读光盘(compact disc read-only memory，CD-ROM)，该存储器1130用于存储相关指令及数据。

存储器1130用于存储授权模块的程序代码和数据，可以为单独的器件或集成在处理器1110中。

具体地，所述处理器1110用于控制收发器与第一网络功能模块和/或第二网络功能模块通信。具体可参见方法实施例中的描述，在此不再赘述。

可以理解的是，图11仅仅示出了授权模块的简化设计。在实际应用中，授权模块还可以分别包含必要的其他元件，包含但不限于任意数量的收发器、处理器、控制器、存储器等，而所有可以实现本申请的授权模块都在本申请的保护范围之内。

在一种可能的设计中，装置1100可以为芯片，例如可以为可用于授权模块中的通信芯片，用于实现授权模块中处理器1110的相关功能。该芯片可以为实现相关功能的现场可编程门阵列，专用集成芯片，系统芯片，中央处理器，网络处理器，数字信号处理电路，微控制器，还可以采用可编程控制器或其他集成芯片。该芯片中，可选的可以包括一个或多个存储器，用于存储程序代码，当所述代码被执行时，使得处理器实现相应的功能。

图12示出了本申请实施例提供的用于调用网络功能服务的装置1200，该装置1200可以为图2至图6中所述的第一网络功能模块，该第一网络功能模块可以采用如图12所示的硬件架构。该第一网络功能模块可以包括处理器1210、收发器1220和存储器1230，该处理器1210、收发器1220和存储器1230通过内部连接通路互相通信。图9中的发送单元910和接收单元920所实现的相关功能可以由处理器1210控制收发器1220来实现。

该处理器1210可以包括是一个或多个处理器，例如包括一个或多个CPU，在处理器是一个CPU的情况下，该CPU可以是单核CPU，也可以是多核CPU。

该收发器1220用于发送和接收数据和/或信号，以及接收数据和/或信号。该收发器可以包括发射器和接收器，发射器用于发送数据和/或信号，接收器用于接收数据和/或信号。

该存储器1230包括但不限于是RAM、ROM、EPROM、CD-ROM，该存储器1230用于存储相关指令及数据。

存储器1230用于存储第一网络功能模块的程序代码和数据，可以为单独的器件或集成在处理器1210中。

具体地，所述处理器1210用于控制收发器与授权模块和/或第二网络功能模块通信。具体可参见方法实施例中的描述，在此不再赘述。

可以理解的是，图12仅仅示出了第一网络功能模块的简化设计。在实际应用中，第一网络功能模块还可以分别包含必要的其他元件，包含但不限于任意数量的收发器、处理器、控制器、存储器等，而所有可以实现本申请的第一网络功能模块都在本申请的保护范围之内。

在一种可能的设计中，装置1200可以为芯片，例如可以为可用于第一网络功能模块中的通信芯片，用于实现第一网络功能模块中处理器1210的相关功能。该芯片可以为实现相关功能的现场可编程门阵列，专用集成芯片，系统芯片，中央处理器，网络处理器，数字信号处理电路，微控制器，还可以采用可编程控制器或其他集成芯片。该芯片中，可选的可以包括一个或多个存储器，用于存储程序代码，当所述代码被执行时，使得处理器实现相应的功能。

图13示出了本申请实施例提供的用于调用网络功能服务的装置1300，该装置1300可以是图2至图6中所述的第二网络功能模块，该第二网络功能模块可以采用如图13所示的硬件架构。该第二网络功能模块可以包括处理器1310、收发器1320和存储器1330，该处理器1310、收发器1320和存储器1330通过内部连接通路互相通信。图10中的处理单元1020所实现的相关功能可以由处理器1310来实现，接收单元1010和发送单元1030所实现的相关功能可以由处理器1310控制收发器1320来实现。

该处理器1310可以包括是一个或多个处理器，例如包括一个或多个CPU，在处理器是一个CPU的情况下，该CPU可以是单核CPU，也可以是多核CPU。

该收发器1320用于发送和接收数据和/或信号，以及接收数据和/或信号。该收发器可以包括发射器和接收器，发射器用于发送数据和/或信号，接收器用于接收数据和/或信号。

该存储器1330包括但不限于是RAM、ROM、EPROM、CD-ROM，该存储器1330用于存储相关指令及数据。

存储器1330用于存储第二网络功能模块的程序代码和数据，可以为单独的器件或集成在处理器1310中。

具体地，所述处理器1310用于控制收发器与授权模块和/或第一网络功能模块通信。具体可参见方法实施例中的描述，在此不再赘述。

可以理解的是，图13仅仅示出了第二网络功能模块的简化设计。在实际应用中，第二网络功能模块还可以分别包含必要的其他元件，包含但不限于任意数量的收发器、处理器、控制器、存储器等，而所有可以实现本申请的第二网络功能模块都在本申请的保护范围之内。

在一种可能的设计中，装置1300可以为芯片，例如可以为可用于第二网络功能模块 中的通信芯片，用于实现第二网络功能模块中处理器1310的相关功能。该芯片可以为实现相关功能的现场可编程门阵列，专用集成芯片，系统芯片，中央处理器，网络处理器，数字信号处理电路，微控制器，还可以采用可编程控制器或其他集成芯片。该芯片中，可选的可以包括一个或多个存储器，用于存储程序代码，当所述代码被执行时，使得处理器实现相应的功能。

图14示出了本申请实施例提供的用于调用网络功能服务的系统1400的示意性框图。该系统1400包括第一网络功能模块1410、授权模块1420和第二网络功能模块1430。

可选地，该第一网络功能模块1410例如可以实现上述方法实施例200至600中第一网络功能模块所实现的功能，该授权模块1420例如可以实现上述方法实施例200至600中授权模块所实现的功能，该第二网络功能模块1430例如可以实现上述方法实施例200至600中第二网络功能模块所实现的功能，为避免重复，此处不再赘述。

可选地，该第一网络功能模块1410例如可以实现上述方法实施例700中第一网络功能模块所实现的功能，该授权模块1420例如可以实现上述方法实施例700中授权模块所实现的功能，该第二网络功能模块1430例如可以实现上述方法实施例700中第二网络功能模块所实现的功能，为避免重复，此处不再赘述。

应理解，本申请实施例中的第一网络功能模块、第二网络功能模块和授权模块均为具有特定功能和网络接口，可以是同一个专用硬件上的不同网元，也可以是同一个专用硬件上运行的不同软件实例，还可以是同一个相关平台(如云基础设施上)上的不同虚拟功能实例，本申请实施例对此不作限定。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者通过所述计算机可读存储介质进行传输。所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，数字通用光盘(digital versatile disc，DVD))、或者半导体介质(例如SSD)等。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，该流程可以由计算机程序来指令相关的硬件完成，该程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法实施例的流程。而前述的存储介质包括：ROM或RAM、磁碟或者光盘等各种可存储程序代码的介质。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本 申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (23)

1. 一种用于调用网络功能服务的方法，其特征在于，包括：

   授权模块接收第一网络功能模块发送的第一请求消息，所述第一请求消息用于请求获取第二网络功能模块提供的第一网络功能服务的调用权限，所述第一请求消息携带第一信息、第二信息和第三信息，所述第一信息用于指示所述第一网络功能模块，所述第二信息用于指示所述第二网络功能模块，所述第三信息用于指示所述第一网络功能服务；

   所述授权模块根据所述第一信息、所述第二信息和所述第三信息，确定所述第一网络功能模块是否具有调用所述第一网络功能服务的权限；

   当确定所述第一网络功能模块具有调用所述第一网络功能服务的权限时，所述授权模块向所述第一网络功能模块发送令牌，所述令牌用于指示所述第一网络功能模块具有调用所述第二网络功能模块的所述第一网络功能服务的权限。
2. 根据权利要求1所述的方法，其特征在于，所述令牌携带第四信息、第五信息和第六信息，所述第四信息用于指示请求调用网络功能服务的网络功能模块为所述第一网络功能模块，所述第五信息用于指示提供网络功能服务的网络功能模块为所述第二网络功能模块，所述第六信息用于指示所述第一网络功能模块有权限调用的、所述第二网络功能模块提供的至少一种网络功能服务，所述至少一种网络功能服务包括所述第一网络功能服务。
3. 根据权利要求1或2所述的方法，其特征在于，所述第一网络功能服务是为用户设备服务的，所述方法还包括：

   所述授权模块向用户数据管理模块发送第二请求消息，所述第二请求消息用于请求所述用户设备对应的所述第一网络功能服务的授权策略，且所述第二请求消息携带所述用户设备的标识，所述授权策略用于指示是否授予所述第一网络功能模块调用所述用户设备对应的所述第一网络功能服务的权限；

   所述授权模块接收所述用户数据管理模块发送的授权策略；

   所述授权模块根据所述第一信息、所述第二信息和所述第三信息，确定所述第一网络功能模块是否具有调用所述第一网络功能服务的权限，包括：

   所述授权模块根据所述第一信息、所述第二信息、所述第三信息和所述授权策略，确定所述第一网络功能模块是否具有调用所述第一网络功能服务的权限。
4. 根据权利要求1至3中任一项所述的方法，其特征在于，所述方法还包括：

   所述授权模块向所述第二网络功能模块发送第七信息，所述第七信息包括已被撤销的至少一个令牌的标识。
5. 根据权利要求1至3中任一项所述的方法，其特征在于，所述令牌还携带所述令牌的标识，所述方法还包括：

   所述授权模块接收所述第二网络功能模块发送的第三请求消息，所述第三请求消息携带所述令牌；

   所述授权模块根据所述令牌的标识，对所述令牌的有效性进行验证，以得到验证结果；

   所述授权模块向所述第二网络功能模块发送所述验证结果。
6. 一种用于调用网络功能服务的方法，其特征在于，包括：

   第一网络功能模块向第二网络功能模块发送第四请求消息，所述第四请求消息用于请求调用所述第二网络功能模块提供的第一网络功能服务，且所述第四请求消息携带第一信息、第二信息、第三信息和令牌，所述第一信息用于指示所述第一网络功能模块，所述第二信息用于指示所述第二网络功能模块，所述第三信息用于指示所述第一网络功能服务，所述令牌用于指示所述第一网络功能模块具有调用所述第二网络功能模块的所述第一网络功能服务的权限；以使得所述第二网络功能模块根据所述第一信息、所述第二信息、所述第三信息和所述令牌确定服务响应消息；

   所述第一网络功能模块接收所述第二网络功能模块发送的所述第一网络功能服务的服务响应消息。
7. 根据权利要求6所述的方法，其特征在于，所述令牌携带第四信息、第五信息和第六信息，所述第四信息用于指示请求调用网络功能服务的网络功能模块，所述第五信息用于指示提供网络功能服务的网络功能模块，所述第六信息用于指示所述第一网络功能模块有权限调用的、所述第二网络功能模块提供的至少一种网络功能服务。
8. 根据权利要求6或7所述的方法，其特征在于，在所述第一网络功能模块向第二网络功能模块发送第四请求消息之前，所述方法还包括：

   所述第一网络功能模块向授权模块发送第一请求消息，所述第一请求消息用于请求获取所述第一网络功能服务的调用权限，所述第一请求消息携带所述第一信息、所述第二信息和所述第三信息；

   所述第一网络功能模块接收所述授权模块发送的所述令牌，所述令牌是根据所述第一信息、所述第二信息和所述第三信息发送的。
9. 一种用于调用网络功能服务的方法，其特征在于，包括：

   第二网络功能模块接收第一网络功能模块发送的第四请求消息，所述第四请求消息用于请求调用所述第二网络功能模块提供的第一网络功能服务，且所述第四请求消息携带第一信息、第二信息、第三信息和令牌，所述第一信息用于指示所述第一网络功能模块，所述第二信息用于指示所述第二网络功能模块、所述第三信息用于指示所述第一网络功能服务，所述令牌携带第四信息、第五信息和第六信息，所述第四信息用于指示请求调用网络功能服务的网络功能模块为所述第一网络功能模块，所述第五信息用于指示提供网络功能服务的网络功能模块为所述第二网络功能模块，所述第六信息用于指示所述第一网络功能模块有权限调用的、所述第二网络功能模块提供的至少一种网络功能服务，所述至少一种网络功能服务包括所述第一网络功能服务；

   所述第二网络功能模块确定所述第四信息指示的网络功能模块与所述第一网络功能模块是否相同，所述第五信息指示的网络功能模块与所述第二网络功能模块是否相同，以及所述第六信息指示的所述至少一种网络功能服务是否包括所述第一网络功能服务；

   当确定所述第四信息指示的网络功能模块与所述第一网络功能模块相同，所述第五信息指示的网络功能模块与所述第二网络功能模块相同，且所述第六信息指示的至少一种网络功能服务包括所述第一网络功能服务时，所述第二网络功能模块向所述第一网络功能模块发送所述第一网络功能服务的服务响应消息。
10. 根据权利要求9所述的方法，其特征在于，所述令牌还携带所述令牌的标识，所 述方法还包括：

    所述第二网络功能模块接收所述授权模块发送的第七信息，所述第七信息包括已被撤销的至少一个令牌的标识；

    确定所述至少一个令牌的标识中是否包括所述令牌的标识；

    所述当确定所述第四信息指示的网络功能模块与所述第一网络功能模块相同，所述第五信息指示的网络功能模块与所述第二网络功能模块相同，且所述第六信息指示的至少一种网络功能服务包括所述第一网络功能服务时，所述第二网络功能模块向所述第一网络功能模块发送所述第一网络功能服务的服务响应消息，包括：

    当确定所述至少一个令牌的标识不包括所述令牌的标识，所述第四信息指示的网络功能模块与所述第一网络功能模块相同，所述第五信息指示的网络功能模块与所述第二网络功能模块相同，且所述第六信息指示的至少一种网络功能服务包括所述第一网络功能服务时，所述第二网络功能模块向所述第一网络功能模块发送所述第一网络功能服务的服务响应消息。
11. 根据权利要求9所述的方法，其特征在于，所述令牌还携带所述令牌的标识，所述方法还包括：

    所述第二网络功能模块向所述授权模块发送第三请求消息，所述第三请求消息用于请求验证所述令牌的有效性，且所述第三请求消息携带所述令牌；

    所述第二网络功能模块接收所述授权模块发送的验证结果，所述验证结果为有效或无效；

    所述当确定所述第四信息指示的网络功能模块与所述第一网络功能模块相同，所述第五信息指示的网络功能模块与所述第二网络功能模块相同，且所述第六信息指示的至少一种网络功能服务包括所述第一网络功能服务时，所述第二网络功能模块向所述第一网络功能模块发送所述第一网络功能服务的服务响应消息，包括：

    当确定所述验证结果为有效，所述第四信息指示的网络功能模块与所述第一网络功能模块相同，所述第五信息指示的网络功能模块与所述第二网络功能模块相同，且所述第六信息指示的至少一种网络功能服务包括所述第一网络功能服务时，所述第二网络功能模块向所述第一网络功能模块发送所述第一网络功能服务的服务响应消息。
12. 一种用于调用网络功能服务的装置，其特征在于，包括：

    接收单元，用于接收第一网络功能模块发送的第一请求消息，所述第一请求消息用于请求获取第二网络功能模块提供的第一网络功能服务的调用权限，所述第一请求消息携带第一信息、第二信息和第三信息，所述第一信息用于指示所述第一网络功能模块，所述第二信息用于指示所述第二网络功能模块，所述第三信息用于指示所述第一网络功能服务；

    处理单元，用于根据所述接收单元接收的所述第一信息、所述第二信息和所述第三信息，确定所述第一网络功能模块是否具有调用所述第一网络功能服务的权限；

    发送单元，用于当所述处理单元确定所述第一网络功能模块具有调用所述第一网络功能服务的权限时，向所述第一网络功能模块发送令牌，所述令牌用于指示所述第一网络功能模块具有调用所述第二网络功能模块的所述第一网络功能服务的权限。
13. 根据权利要求12所述的装置，其特征在于，所述令牌携带第四信息、第五信息和第六信息，所述第四信息用于指示请求调用网络功能服务的网络功能模块为所述第一网 络功能模块，所述第五信息用于指示提供网络功能服务的网络功能模块为所述第二网络功能模块，所述第六信息用于指示所述第一网络功能模块有权限调用的、所述第二网络功能模块提供的至少一种网络功能服务，所述至少一种网络功能服务包括所述第一网络功能服务。
14. 根据权利要求12或13所述的装置，其特征在于，所述第一网络功能服务是为用户设备服务的，

    所述发送模块还用于向用户数据管理模块发送第二请求消息，所述第二请求消息用于请求所述用户设备对应的所述第一网络功能服务的授权策略，且所述第二请求消息携带所述用户设备的标识，所述授权策略用于指示是否授予所述第一网络功能模块调用所述用户设备对应的所述第一网络功能服务的权限；

    所述接收单元还用于接收所述用户数据管理模块根据所述用户设备的标识发送的授权策略；

    所述处理单元具体用于根据所述第一信息、所述第二信息、所述第三信息和所述授权策略，确定所述第一网络功能模块是否具有调用所述第一网络功能服务的权限。
15. 根据权利要求12至14中任一项所述的装置，其特征在于，

    所述发送单元还用于向所述第二网络功能模块发送第七信息，所述第七信息包括已被撤销的至少一个令牌的标识。
16. 根据权利要求12至14中任一项所述的装置，其特征在于，所述令牌还携带所述令牌的标识，

    所述接收单元还用于接收所述第二网络功能模块发送的第三请求消息，所述第三请求消息携带所述令牌；

    所述处理单元还用于根据所述令牌的标识，对所述令牌的有效性进行验证，以得到验证结果；

    所述发送单元还用于向所述第二网络功能模块发送所述验证结果。
17. 一种用于调用网络功能服务的装置，其特征在于，包括：

    发送单元，用于向第二网络功能模块发送第四请求消息，所述第四请求消息用于请求调用所述第二网络功能模块提供的第一网络功能服务，且所述第四请求消息携带第一信息、第二信息、第三信息和令牌，所述第一信息用于指示所述第一网络功能模块，所述第二信息用于指示所述第二网络功能模块，所述第三信息用于指示所述第一网络功能服务，所述令牌用于指示所述第一网络功能模块具有调用所述第二网络功能模块的所述第一网络功能服务的权限；

    接收单元，用于接收所述第二网络功能模块发送的所述第一网络功能服务的服务响应消息。
18. 根据权利要求17所述的装置，其特征在于，所述令牌携带第四信息、第五信息和第六信息，所述第四信息用于指示请求调用网络功能服务的网络功能模块，所述第五信息用于指示提供网络功能服务的网络功能模块，所述第六信息用于指示所述第一网络功能模块有权限调用的、所述第二网络功能模块提供的至少一种网络功能服务。
19. 根据权利要求17或18所述的装置，其特征在于，

    所述发送单元还用于在向第二网络功能模块发送第四请求消息之前，向授权模块发送 第一请求消息，所述第一请求消息用于请求获取所述第一网络功能服务的调用权限，所述第一请求消息携带所述第一信息、所述第二信息和所述第三信息；以使得所述授权模块根据所述第一信息、所述第二信息和所述第三信息确定所述令牌；

    所述接收单元还用于接收所述授权模块发送的所述令牌。
20. 一种用于调用网络功能服务的装置，其特征在于，包括：

    接收单元，用于接收第一网络功能模块发送的第四请求消息，所述第四请求消息用于请求调用所述第二网络功能模块提供的第一网络功能服务，且所述第四请求消息携带第一信息、第二信息、第三信息和令牌，所述第一信息用于指示所述第一网络功能模块，所述第二信息用于指示所述第二网络功能模块、所述第三信息用于指示所述第一网络功能服务，所述令牌携带第四信息、第五信息和第六信息，所述第四信息用于指示请求调用网络功能服务的网络功能模块，所述第五信息用于指示提供网络功能服务的网络功能模块，所述第六信息用于指示所述第一网络功能模块有权限调用的、所述第二网络功能模块提供的至少一种网络功能服务；

    处理单元，用于确定所述接收单元接收的所述第四信息指示的网络功能模块与所述第一网络功能模块是否相同，所述第五信息指示的网络功能模块与所述第二网络功能模块是否相同，以及所述第六信息指示的所述至少一种网络功能服务是否包括所述第一网络功能服务；

    发送单元，用于当所述处理单元确定所述第四信息指示的网络功能模块与所述第一网络功能模块相同，所述第五信息指示的网络功能模块与所述第二网络功能模块相同，且所述第六信息指示的至少一种网络功能服务包括所述第一网络功能服务时，向所述第一网络功能模块发送所述第一网络功能服务的服务响应消息。
21. 根据权利要求20所述的装置，其特征在于，所述令牌还携带所述令牌的标识，

    所述接收单元还用于接收所述授权模块发送的第七信息，所述第七信息包括已被撤销的至少一个令牌的标识；

    所述处理单元还用于确定所述至少一个令牌的标识中是否包括所述令牌的标识；

    所述发送单元具体用于当确定所述至少一个令牌的标识不包括所述令牌的标识，所述第四信息指示的网络功能模块与所述第一网络功能模块相同，所述第五信息指示的网络功能模块与所述第二网络功能模块相同，且所述第六信息指示的至少一种网络功能服务包括所述第一网络功能服务时，向所述第一网络功能模块发送所述第一网络功能服务的服务响应消息。
22. 根据权利要求20所述的装置，其特征在于，所述令牌还携带所述令牌的标识，

    所述发送单元还用于向所述授权模块发送第三请求消息，所述第三请求消息用于请求验证所述令牌的有效性，且所述第三请求消息携带所述令牌；

    所述接收单元还用于接收所述授权模块根据所述令牌的标识发送的验证结果，所述验证结果为有效或无效；

    所述发送单元具体用于当确定所述验证结果为有效，所述第四信息指示的网络功能模块与所述第一网络功能模块相同，所述第五信息指示的网络功能模块与所述第二网络功能模块相同，且所述第六信息指示的至少一种网络功能服务包括所述第一网络功能服务时，向所述第一网络功能模块发送所述第一网络功能服务的服务响应消息。
23. 一种用于调用网络功能服务的系统，其特征在于，包括：第一网络功能模块、第二网络功能模块和授权模块；

    所述第一网络功能模块用于：向所述授权模块发送第一请求消息，所述第一请求消息用于请求获取第二网络功能模块提供的第一网络功能服务的调用权限，所述第一请求消息携带第一信息、第二信息和第三信息，所述第一信息用于指示所述第一网络功能模块，所述第二信息用于指示所述第二网络功能模块，所述第三信息用于指示所述第一网络功能服务；

    所述授权模块用于：接收所述第一网络功能模块发送的所述第一请求消息；根据所述第一信息、所述第二信息和所述第三信息，确定所述第一网络功能模块是否具有调用所述第一网络功能服务的权限；当确定所述第一网络功能模块具有调用所述第一网络功能服务的权限时，向所述第一网络功能模块发送令牌，所述令牌携带第四信息、第五信息和第六信息，所述第四信息用于指示请求调用网络功能服务的网络功能模块为所述第一网络功能模块，所述第五信息用于指示提供网络功能服务的网络功能模块为所述第二网络功能模块，所述第六信息用于指示所述第一网络功能模块有权限调用的、所述第二网络功能模块提供的至少一种网络功能服务，所述至少一种网络功能服务包括所述第一网络功能服务；

    所述第一网络功能模块还用于接收所述授权模块发送的所述令牌；向所述第二网络功能模块发送第四请求消息，所述第四请求消息用于请求调用所述第一网络功能服务，且所述第四请求消息携带所述第一信息、所述第二信息、所述第三信息和所述令牌；

    所述第二网络功能模块用于接收所述第一网络功能模块发送的所述第四请求消息；确定所述第四信息指示的网络功能模块与所述第一网络功能模块是否相同，所述第五信息指示的网络功能模块与所述第二网络功能模块是否相同，以及所述第六信息指示的所述至少一种网络功能服务是否包括所述第一网络功能服务；当确定所述第四信息指示的网络功能模块与所述第一网络功能模块相同，所述第五信息指示的网络功能模块与所述第二网络功能模块相同，且所述第六信息指示的至少一种网络功能服务包括所述第一网络功能服务时，向所述第一网络功能模块发送所述第一网络功能服务的服务响应消息；

    所述第一网络功能模块还用于接收所述第二网络功能模块发送的所述服务响应消息。

Images